我控制多个AWS账户。 我想使用MFA进行rootlogin。
我有一个来自Amazon( docs )的注册MFA的Gemalto硬件密钥卡,其中一个是根帐户。
我尝试使用相同的密钥卡添加MFA到第二个帐户,但是我收到消息“ The token serial number was not found. ”。
任何人都可以确认或否认是否可以重复使用多个AWS账户的MFA的同一密钥卡?
在亚马逊的文档中,我一直无法find关于这个场景的任何信息,而且错误信息是不明确的。 在密码学上,我认为它应该可以正常工作,因为这是一个基于时间的标记,而不是一个OTP链。
你的逻辑似乎是合理的,但AWS不支持这一点。
问:我可以在多个AWS账户中使用我的身份validation设备吗?
不可以。身份validation设备或手机号码绑定到单个AWS身份(IAM用户或root帐户)。 如果您的智能手机上安装了与TOTP兼容的应用程序,则可以在同一个智能手机上创build多个虚拟MFA设备。 每个虚拟MFA设备都绑定到一个单一的身份,就像一个硬件设备。 如果您离开(取消激活)身份validation设备,则可以使用其他AWS标识重新使用它。 身份validation设备不能同时使用多个身份。
他们的政策的一个可能的基本原理可以在这个回答“是否共享相同的TOTP跨多个服务器有任何不太安全吗?” 。